国際的な訴訟案件・調査事件でのドキュメントレビュー時の注意点

IT・情報セキュリティ

 国際的な訴訟案件や調査事件でドキュメントレビューを行う際に注意すべき点にはどのようなことがありますか。

 国際的なドキュメントレビューにおいては、各国の管轄との関係やデータ保護法との関係などにも留意する必要があります。また、これらによって生じる問題について、米国でのCLOUD法の制定をはじめとして、様々な法的な動きがあるので、留意することが必要です。

解説

目次

  1. 国際的なドキュメントレビュー
  2. 国際的なドキュメントレビューにおける現代的な論点
※本記事は、高橋郁夫・鈴木誠・梶谷篤・荒木哲郎・北川祥一・斎藤綾・北條孝佳/編集「デジタル法務の実務 Q&A」(日本加除出版、2018年)の内容をもとに一部追記、改訂のうえ転載したものです。

国際的なドキュメントレビュー

(1)国際的なドキュメントレビューが必要になる事例

 企業活動の国際化に伴い、様々な局面でドキュメントレビューの手法が用いられるようになってきています。具体的には、海外子会社の不正調査、外国での訴訟、外国の官庁対応などをあげることができます 1

 近時は、腐敗防止法への対応が重要となっており、業種によっては、特定の官庁からの調査への対応を迫られるケースも増えています。例えば、自動車産業におけるリコール対応がその例であり、米国運輸省国家道路交通安全局(NHTSA)は、2015年11月には、エアバッグの欠陥で適切なリコール(無償回収・修理)や当局への情報開示を怠ったとして、タカタに対して最大で2億ドル(約240億円)の民事制裁金を科すと発表しました。また、同年12月には、BMW傘下のMINIが米国で実施したリコール(回収・無償修理)に関する対応に不備があったとして、BMWノースアメリカに対して、最大4,000万ドル(約48億円)の民事制裁金を科すと発表しています。こうした事案では、まずは、企業自らの手によって不正の有無・関係証拠の有無を調査し、それらに該当するものがある場合には規制当局に対して提出することが求められるので、いずれの事案でも、各企業は案件対応のために膨大な調査を迫られています。

国際的なドキュメントレビューにおける現代的な論点

(1)法的問題についての検討についての世界的な動向

 国際的な案件におけるドキュメントレビューの法的問題については様々な議論がされており 2、以下では、各国の管轄との関係、データ保護規定との関係、主権の相剋との関係について記載します。

(2)各国の管轄との関係

 管轄とは、ある国の法廷(具体的には、米国の法廷)でなされた判断(命令等)が、当該訴訟の当時者の海外での行動に対して効力を有し得るかという問題です。

 管轄で大きな問題となるのは、ある国の裁判所等が、その国以外の場所に存在する記録装置に記録されているデータの提供を命令できるかという点です。

 米国の連邦民事訴訟法の規定は、当事者は、任意で当事者が「保持、保管又は管理している」文書、電子情報及び有形物のコピーを原則として提供しなければならないと定めています 3。この「管理」(control)の解釈についての有力な立場は、「実務的可能性」の有無で判断するというものです。一般的には、「米国の裁判所は、そのデータの所在地にかかわらず、そのデータについて管理をなし得るデータ管理者に対して、米国の法廷でなされた判断にしたがうことを要請し得る」とされています。これは、データの作成・記録が米国内でされているか米国外でされているかにかかわらず、米国内で管理がなし得るのであれば、データの記録された記録媒体の物理的位置は関係がないという意味を含むとされています 4。したがって、米国外で活動をする企業も、原則として米国のeディスカバリに応じなければならず、その際、米国外のサーバ・PC等に保存されているデータも提供を命じられる可能性があり、ドキメュントレビューの実際では、米国外に保存しているデータがどの範囲で提出の義務があるのかが論点となっています。

 この点、刑事事件である “Microsoft Ireland” 事件では、米国の裁判所が米国外のサーバに保存されているデータに対して押収令状を発行し執行する権限を有するのかが争われました。この事件では、麻薬捜査に関連して、保存通信法に基づいて捜査令状が発付され、マイクロソフト社に対して電子メールサービスのユーザに関するデータやユーザが送受信したメッセージの内容などの開示が要求されました。しかし、このユーザのデータ自体は、アイルランドのサーバに保存されていたため、マイクロソフト社は、捜査令状の破棄及び民事裁判所侮辱への異議を唱えました。治安判事及び連邦地裁は、マイクロソフトの訴えを退けましたが、第2連邦高等裁判所は、2016年7月15日、保存通信法2703条は、裁判所に対して、排他的に海外に保存されている顧客の電子メールの米国ベースのプロバイダへの押収令状を発行し、執行する権限を持たないとの判断を下しました。

 この件については、その後、2018年3月にCLOUD法(Clarifying Lawful Overseas Use of Data Act、データの国際的な適法利用の明確化法)が成立しました。同法は、電気通信プロバイダは、データの保存場所に関連なくデータの提出命令に応じるべき義務があることを認めるとともに、(データの保存場所たる)外国の法に違反する場合には、救済を求め得る場合があることを述べています。この救済については、国家の相互の礼譲(comity)などを判断の要素として判断するとされています。CLOUD法のもとでは、提出を命じられた場合には、データを提出しなければならなくなるので、前述のマイクロソフト事件においては、同法に基づいてデータが提出されて、事件としては解決を見ています 5

 また、2010年12月には、米国の第9巡回控訴裁判所の判決において、司法省による独占禁止法違反の刑事調査に関し、米国の法律事務所が保持する外国企業の文書が大陪審による文書提出要請(subpoena)の対象となり得る、との判断がなされました 6。この判断を受け、近時は、米国外に保存されているデータをレビューするに際しては、米国の法律事務所からはその米国外のデータに対するアクセスを遮断してドキュメントレビューをするといった対抗策がとられるようになっています。

(3)EU データ保護法との関係

 EUでは、近時、国際的なディスカバリとデータ保護法との関係が議論されています。

 従前、データ保護指令25条は域外移転の禁止を定めており、この原則はGDPR(一般データ保護規則)第44条(移転に関する一般原則)に引き継がれました。この原則に照らし、EU域内の企業が保有する個人データが、ディスカバリ手続の過程で米国やわが国で取り扱われる場合には、域外移転の問題が生じていることとなります。

 この点に関し、EUのデータ保護指令と関連する29条作業委員会(当時)は、「国際的民事訴訟のための前トライアル・ディスカバリに関する作業文書」(Working Document 1/2009 on pre-trial discovery for cross border civil litigation”(wp158))を公表しています。この作業文書は、EU法に従うデータ管理者が、民事訴訟で利用するために他の法域に個人データを移転することを求められた場合のガイダンスを提供するものです。また、データ保護指令は訴訟目的での移転を防ぐものではないとしつつ、データ管理者が移転を認めるかの判断基準についてのガイドラインを提案しています。具体的には、維持期間の関係、訴訟目的の処理の合法性の問題、同意の問題、必要性の問題、機微個人情報、比例原則、透明性、アクセス権、データセキュリティなどの問題等を考慮した上で移転を認めるというものです。

 また、GDPR48条でも、「EU法によって認められていない移転又は開示」とのタイトルで、「第三国の裁判所又は法廷のあらゆる判決及び行政機関のあらゆる決定は、その要求をする第三国とEU又は加盟国間で有効とされている共助条約のような国際協定に基づく場合に限り」認められるか又は執行力を有することができることが規定されています。この条項に関しては、例えば、米国の会社がハーグ証拠条約等に基づかずに個人データを移転できるかが問題となりますが、自発的な提供や、内部調査は、この規定の適用範囲に含まれずに、通常の移転の解釈によると考えられています 7。したがって、上記作業文書の趣旨は、GDPRの下においても同様に考えることができるとされています。

 上記問題は、日本でのドキュメントレビューにおいて、EU内のサーバに保存されているデータに日本からアクセスして分析する場合にも問題となり得ます。GDPRの下で日本が十分性認定を受けていない状況下においても、訴訟目的の場合には、上記ガイドラインに基づいていれば許容される場合があると考えられます。

(4)eディスカバリと国家主権

 大陸法諸国では、英米法諸国のディスカバリ制度に対しては許容できない広範な開示手続であると考え、手続を制限する動きがあります。具体的には、「民事又は商事に関する外国における証拠の収集に関する条約」(ハーグ証拠収集条約)によらない証拠収集手続であるとして、米国でのディスカバリを制限しようとする動きや、対抗立法 8 によって制限しようとする動きです。対抗立法には、民間当事者による外国訴訟によるディスカバリを求める行為を刑事罰の対象にするもの 9、特定の形態の情報を外国の当局からの開示要請に対して保護するもの 10があります。

 これらの対抗立法と法廷係属国との間で民間企業が板挟みとなった事例もあり、例えば、英国のデータ保護法の適用を理由にして、ディスカバリ命令からの救済を求めたLaydon v. Mizuho Bank, Ltd. 事件やベルギーのデータ保護法との相剋が問題となったRoyal Park Investments SA/NV v. HSBC Bank USA, N. A. 事件などが挙げられます 11

 これに対して、米国では、海外の法執行機関・裁判所からなされる命令と国内の規定との矛盾を解消すべく前述のCLOUD法が制定されました。

デジタル法務の実務 Q&A
  • 参考文献
  • デジタル法務の実務 Q&A
  • 著者:高橋郁夫・鈴木誠・梶谷篤・荒木哲郎・北川祥一・斎藤綾・北條孝佳/編集
  • 定価:本体 4,400円+税
  • 出版社:日本加除出版
  • 発売年月:2018年11月

  • ※上記テキストリンクは、BUSINESS LAWYERS LIBRARYの当該書籍ページへ遷移いたします。

  1. このうち、海外子会社の不正調査については「デジタル法務の実務 Q&A」のQ15、官公庁対応のうち独占禁止法違反に対する対応についてはQ19を参照してください。 ↩︎

  2. セドナコンファレンスWG6 が国際的ドキュメントレビューについていくつかの報告書を提出しており、この報告書のうち、「Framework for Analysis of Cross-Border Discovery Conflicts: A Practical Guide to Navigating the Competing Currents of International Data Privacy and e-Discovery」は、世界的なディスカバリの相剋を分析するための枠組みを提供しています。
    https://thesedonaconference.org/publication/Framework_for_Analysis_of_Cross-Border_Discovery_Conflicts ↩︎

  3. 連邦民訴規則26条 (a) (1) (A) (ⅱ) ↩︎

  4. 米国でのリーディングケースは、Strauss v. Credit Lyonnais, S. A., 242 F.R.D. 199(E.D.N.Y. 2007)である。 ↩︎

  5. Devin Coldewey「Microsoftのデータ保護問題に決着─米最高裁、CLOUD 法成立により過去のデータ提出命令を無効と決定」(https://jp.techcrunch.com/2018/04/18/2018-04-17-supreme-court-dismisses-warrant-case-against-microsoft-after-cloud-act-renders-it-moot/) ↩︎

  6. 日本企業を含む液晶パネル業界の独占禁止法違反に関して司法省が2006年に開始した調査に端を発した事件に関する判決です。司法省による刑事調査が明らかになったことで、多数の関連する民事訴訟が提起され、被告の外国企業は、大量の文書を証拠として提出しており、司法省は、当該企業の代理人として文書を国内に保管していた4つの法律事務所に対して大陪審による文書提出命令を発行することで入手を試みました。カリフォルニア州控訴裁判所は、政府は大陪審の管轄下に移った文書を入手することができるとして、本文中の判断を下しました。 ↩︎

  7. この点については、前述したセドナコンファレンスが「米国からの国際的ディスカバリにおけるGDPR48 条の潜在的インパクト(The Potential impact of Article 48 of the General Data Protection Regulation on Cross Border Discovery from the United States)」(https://www.nortonrosefulbright.com/en/knowledge/publications/b01b7898/the-potential-impact-of-article-48-of-the-general-data-protection-regulation-on-cross-border-discovery-from-the-united-states)参照。 ↩︎

  8. 対抗立法とは、主として特定の国からの文書の開示、複製、検査、除去を禁止するものであったり、他の国家の越境的な干渉から商業的な利益を保護しようとしたりするものをいいます。 ↩︎

  9. 代表的な例はフランス刑法 No80-538であり、同条は、「国際条約、協定、法及び規則にしたがい、いかなる人も、外国の司法、行政手続もしくはかかる手続に関するつもりで証拠を構成する、(口頭にせよいかなる形にせよ)経済、商業、産業、財政的もしくは技術的性質を持った書面、文書、情報を、要求し、探索し、もしくは通信することは禁じられる」としています。カリフォルニアのアメリカの法律事務所と仕事をしているフランスの弁護士が、係属中の役員生命保険訴訟の被告であるMAAFから、非公式に情報を取得しようと電話をかけて、罰金に処せられた事件があります。Cour de Cassation Chambre Criminelle [Cass. Crim.], Paris, Dec. 12, 2007, Juris-Data no. 2007-332254. ↩︎

  10. この代表として、スイス銀行法47条があります。同条は、「銀行の役員、従業員、清算人、コミッショナー、銀行コミッションの代表者、認可された監査法人の役員、従業員としての役割において、信託された秘密を漏らそうとする者は、6月以下の禁錮もしくは5万スイスフラン以下の罰金に処す」としています。また、スイス刑法271条は、司法共助によってなされる手続以外の手段による証拠の収集を禁止しています。 ↩︎

  11. これらの事件については、“GDPR and U.S. eDiscovery − Who Will Win the Game of Chicken” (https://www.foley.com/en/insights/publications/2018/06/gdpr-and-us-ediscovery--who-will-win-the-game-of-c)を参照のこと。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する